Przygotowanie do RODO w 10 krokach - krótki poradnik dla przedsiębiorców

26-10-2017, 09:02

Coraz częściej słyszymy o nowych regulacjach, jakie wprowadza europejskie rozporządzenie o ochronie danych osobowych (RODO). Zaczną one obowiązywać od 25 maja 2018 r. Tego dnia wszystkie procesy w firmach powinny być dostosowane do nowych przepisów.  Fundacja Wiedza To Bezpieczeństwo wskazuje, że ich wdrożenie – pod warunkiem dobrego zaplanowania i zdecydowanych działań – zajmie przynajmniej klika miesięcy. A także podpowiada, jak przedsiębiorcy mogą skutecznie przygotować się do stosowania nowego prawa.

Może wydawać się, że wdrożenie odpowiedniego systemu ochrony danych osobowych zgodnego z przepisami RODO jest procesem trudnym. Aby mieć gwarancję, że cała procedura przebiegnie efektywnie, należy odpowiednio wcześnie się do tego przygotować i właściwie zidentyfikować problemy, które mogą się pojawić– mówi Marcin Zadrożny, ODO 24.

 

Od czego zacząć przygotowania do RODO?


1. Wybierz sposób wdrożenia

Nowe przepisy można wprowadzić z wykorzystaniem własnych pracowników. Zwłaszcza, jeżeli firma posiada dział bezpieczeństwa lub compliance. Alternatywą jest wybór ekspertów zewnętrznych, którzy posiadają wypracowaną metodologię działań. Przy wdrożeniu RODO niezbędna jest wiedza interdyscyplinarna.

2. Powołaj zespół wdrożeniowy

Przygotowanie do RODO jest procesem angażującym całą organizację. Dlatego konieczne jest powołanie odpowiedniego zespołu, który będzie czuwał nad całością prac wdrożeniowych.

3. Stwórz harmonogram

Wskazanie zakresu prac oraz terminów wykonywania poszczególnych etapów przystosowywania firmy do RODO jest elementem, który pozwali określić jaki etap będzie najbardziej pracochłonny i kosztowny oraz od czego należałoby zacząć.

4. Przeanalizuj ryzyko i przeprowadź DPIA

Unijne rozporządzenie wymusza na przedsiębiorcach dokonanie analizy ryzyka przetwarzania danych, aby zapewnić stopień bezpieczeństwa przetwarzania danych odpowiadający temu ryzyku poprzez wdrożenie odpowiednich zabezpieczeń technicznych i organizacyjnych. Dopiero, na postawie oceny ryzyka firmy mogą zdecydować, jakie zabezpieczenia należy wprowadzić. Ocena skutków przetwarzania dla ochrony danych (DPIA) jest istotnym i nowym narzędziem mającym na celu pomoc administratorom danych w wykazaniu, że podjęto odpowiednie środki w celu zapewnieniu zgodności z RODO.

5. Dostosuj systemy IT

Systemy IT muszą przede wszystkim realizować prawa osób, których dane dotyczą, a zastosowane środki techniczne i organizacyjne powinny być wynikiem uprzednio wykonanej analizy ryzyka. Dodatkowo administrator danych osobowych powinien zapewnić zdolność do ciągłego zapewnienia poufności, integralności dostępności i odporności systemów i usług przetwarzania oraz powinien regularnie testować, mierzyć, oceniać skuteczność środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania

6. Organizuj szkolenia

Aby mieć pewność, że nowy system ochrony danych osobowych funkcjonuje sprawnie  nie wystarczy jednorazowa realizacja zadań służących dostosowaniu się do nowych procedur. Konieczne jest przygotowanie wszystkich pracowników upoważnionych do przetwarzania danych i  dostarczenie im odpowiedniej wiedzy. Człowiek, to zawsze najsłabsze ogniwo każdego systemu, w tym systemu ochrony danych osobowych.

7. Dostosuj klauzule informacyjne

Do tej pory obejmowały one wyłącznie wąski zakres informacji. RODO rozszerza obowiązek informacyjny m.in. o okres przechowywania danych osobowych, informacje o wszystkich prawach przysługujących osobie, której dane dotyczą, cofnięciu zgody na przetwarzanie danych, ewentualnym profilowaniu czy prawie wniesienia skargi do organu nadzorczego – dziś GIODO, a na gruncie stosowania RODO najprawdopodobniej Urzędu Ochrony Danych Osobowych.

8. Przygotuj wewnętrzne procedury

Wszystkie obowiązujące w firmie zasady powinny zostać uaktualnione, dostosowane i rozbudowane o nowe obowiązki, wynikające z RODO. Należy zwrócić szczególną uwagę na to by dostosować proces przetwarzania danych osobowych pod względem m.in. wymogów legalności, adekwatności i przejrzystości.

9. Upewnij się, czy Twoja firma musi powołać Inspektora Ochrony Danych

Po wprowadzeniu nowego prawa Inspektor Ochrony Danych (IOD) będzie odpowiednikiem obecnego Administratora Bezpieczeństwa Informacji (ABI). Aktualnie powołanie ABI nie jest obligatoryjne. RODO reguluje tę kwestię w sposób odmienny i wymusza powołanie IOD np. w organach i podmiotach publicznych oraz gdy np. główna działalność podmiotu polega na przetwarzaniu danych osobowych szczególnej kategorii (np. dot. stanu zdrowia) czy wyroków skazujących i naruszeń prawa.

10.  Zaplanuj audyt zamknięcia

…czyli weryfikację i ocenę wszystkich działań dostosowawczych. Warto by firmy przeprowadziły również porównanie aktualnego systemu ochrony z jego stanem sprzed wdrożenia. Audyt zamknięcia ujawnia, które zadania można było wykonać lepiej oraz jakie elementy wymagają jeszcze dopracowania.

 

Koniecznym w przygotowaniach do implementacji RODO jest zaangażowanie do tego odpowiednich osób oraz opracowanie dobrego planu. W większych organizacjach, o złożonych procesach,  warto rozważyć powołanie interdyscyplinarnego  zespołu reprezentującego różne obszary działalności, w tym m.in.: Dział Prawny, Biznes, HR, Handel, IT/BI, Marketing. Istotnym punktem w planie przygotowań jest przenalizowanie przepływów danych osobowych w organizacji wraz z oceną ryzyka, dostosowanie procedur i dokumentacji oraz komunikacja zmian połączona z programem edukacyjnym. Wszystko po to, by zrozumienie istoty ochrony danych osobowych, które niesie RODO, osiągnąć i podtrzymywać na każdym poziomie organizacji – mówi Katarzyna Stryła, Dyrektor Legal & Compliance Software Wolters Kluwer Polska.

potencjalnie niebezpieczni

Fundacja Wiedza To Bezpieczeństwo powstała z inicjatywy osób zawodowo zajmujących się bezpieczeństwem informacji, łączących wiedzę, pasję i doświadczenie z różnych dyscyplin – m.in. prawa, informatyki, zarządzania. Cel, który jej przyświeca to promowanie znaczenia bezpieczeństwa informacji, jako najcenniejszego dobra, jakim dysponuje człowiek oraz strategicznego zasobu każdej organizacji. Działania Fundacji opierają się na: edukacji, integracji środowiska osób odpowiedzialnych za bezpieczeństwo informacji, w tym danych osobowych oraz tych, którzy po prostu interesują się przedmiotową tematyką oraz dostarczaniu organizacjom narzędzi chroniących ich zasoby informacyjne.


Źródło: Patronat medialny
Komentarze
comments powered by Disqus
To warto przeczytać









fot. Geralt





  
znajdź w serwisie

RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Listopad 2017»
PoWtŚrCzwPtSbNd
 12345
6789101112
13141516171819
20212223242526
27282930 
Jak czytać DI?
Newsletter

Podaj teraz tylko e-mail!



RSS
Copyright © 1998-2017 by Dziennik Internautów Sp. z o.o. (GRUPA INFOR PL) Wszelkie prawa zastrzeżone.